预处理语句定义:
你可以把它们想成是一种编译过的要执行的SQL语句模板,可以使用不同的变量参数定制它。预处理语句具有两个主要的优点:
查询只需要被解析(或准备)一次,但可以使用相同或不同的参数执行多次。当查询准备好(Prepared)之后,数据库就会分析,编译并优化它要执行查询的计划。对于复杂查询来说,如果你要重复执行许多次有不同参数的但结构相同的查询,这个过程会占用大量的时间,使得你的应用变慢。通过使用一个预处理语句你就可以避免重复分析、编译、优化的环节。简单来说,预处理语句使用更少的资源,执行速度也就更快。
传给预处理语句的参数不需要使用引号,底层驱动会为你处理这个。如果你的应用独占地使用预处理语句,你就可以确信没有SQL注入会发生。(然而,如果你仍然在用基于不受信任的输入来构建查询的其他部分,这仍然是具有风险的)。
预制语句的SQL语法基于三个SQL语句:
PREPARE stmt_name FROM preparable_stmt;
EXECUTE stmt_name [USING @var_name [, @var_name] ...];
{DEALLOCATE | DROP} PREPARE stmt_name;
mysql> prepare stmt1 from 'select * from t1 where id >?'
-> ;
Query OK, 0 rows affected (0.01 sec)
Statement prepared
mysql> set @i=1;
Query OK, 0 rows affected (0.01 sec)
mysql> execute stmt1 using @i;
+----+----------+----------+--------+-------+
| id | username | password | status | descn |
+----+----------+----------+--------+-------+
| 3 | 11 | 111 | 1 | 1111 |
| 2 | 22 | 222 | 2 | 2222 |
| 4 | 22 | 222 | 2 | 2222 |
+----+----------+----------+--------+-------+
3 rows in set (0.01 sec)
mysql> select * from t1;
+----+----------+----------+--------+-------+
| id | username | password | status | descn |
+----+----------+----------+--------+-------+
| 3 | 11 | 111 | 1 | 1111 |
| 1 | 22 | 222 | 2 | 2222 |
| 2 | 22 | 222 | 2 | 2222 |
| 4 | 22 | 222 | 2 | 2222 |
+----+----------+----------+--------+-------+
4 rows in set (0.00 sec)
mysql>drop prepare stmt1;